AntiVirus 板


LINE

※ 引述《lmkkml (小羊~~~)》之铭言: : 回楼下麻友友大说的是别的方法一XD。只拿Cerber等现在流行的病毒来说是都有效没错, : 但如果我在病毒执行後UAC一律放行,那个方法也是有机会挂掉,特别是删除阴影复制+加 : 密这类的,又或是Petya这种以MBR为目标的勒索病毒,UAC一按放行就直接没救了。 : : 推 vobor: 方法ㄧ不就是最快被破解的那个吗.. 对,我说的「方法一」 是指以前lmkkml大大在下面这篇文章里写的防御方法 https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1461847912.A.603.html 很好用,又有效又方便。 lmkkml大大在文章里还有提过一个「拒绝资料夹写入」的方法: 如果你使用的当前帐户是系统管理员身份, 在想要保护起来的资料夹上按右键点选内容→安全性→编辑, 进入变更权限视窗後→选取 Administrators→ 拒绝写入的方框打勾→按下「确定」。 这个方法的好处是即使勒索病毒拿到系统管理员权限, 也无法修改受到保护的资料夹。 保护的资料夹仍然可以正常读取,只是无法修改, 需要修改的时候,再取消「拒绝写入」的勾选就好了, 恢复的速度很快。 另外在下面这篇回覆里,有提到可以设定应用程式白名单的软体 https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465127023.A.96E.html 只有白名单内的程式可以修改受保护的资料夹, 其他程式都禁止修改,即使是以系统管理员身份运行的程式也一样。 所以这些软体也可以阻止勒索病毒加密受保护的档案。 这些软体像Secure Folders同样是利用Windows的权限控管机制 (系统存取控制清单ACLs)来禁止应用程式存取资料夹。 我们也可以用lmkkml大介绍的「拒绝资料夹写入」的方法做到相同的功能。 假设现在系统有两个用户,一个是系统管理员Administrator, 一个是标准使用者mayuyu。 1. 建立一个新的标准使用者帐户,譬如说No.1。 2. 在资料夹上按右键点选内容→安全性→编辑,进入变更权限视窗後, 将Administrators和mayuyu的拒绝写入方框打勾。 3. 按「新增」→「进阶」→「立即寻找」 选取刚刚新增的帐户No.1 4. 将No.1允许写入的方框打勾 这样设定之後,系统管理员和mayuyu都不能写入这个资料夹, 只有运行在No.1这个帐户底下的程式可以。 平常登入Windows的时候,就使用Administrator或mayuyu帐户, 同样可以读取受保护的资料夹。 需要写入的时候,例如要修改档名、修改MP3的TAG、解压缩档案的时候, 在要开启的应用程式上按住shift点右键, 在弹出的右键选单里选「以不同的使用者身分执行」, 然後选择以No.1的身份运行这些程式, 这样这些程式就可以修改受保护的资料夹了。 记得一定要开UAC。 WIN8要修改群组原则才能在开始功能表下用右键选择 「以不同的使用者身分执行」。 可以用runas命令建立指定使用者身份的应用程式捷径, 以後直接点捷径就可以切换身份执行。。 有些软体有提供Run as...开启程式的功能, 例如Process Hacker, 可以很快用指定身份开启需要的程式。 当然,这个方法就变得有些麻烦, 我还是觉得直接用Secure Folders最方便xD --



※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.121
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465260232.A.759.html
1F:推 william456: Secure Folders不是倒了,还能购买? 06/07 08:53
2F:→ mayuyu: Secure Folders(有s,Secure Folder是另一个软体) 06/07 08:57
3F:→ mayuyu: 的网站已经消灭了 软体已经不再更新 06/07 08:57
4F:→ mayuyu: 所以务必把Secure Folders的更新检查在选项里关闭 06/07 08:58
5F:→ mayuyu: Secure Folders一直是免费的不用购买 06/07 08:58
6F:→ william456: 原来两个不同(笔记...) 06/07 09:02
7F:→ roh: 请问Secure Folder不好嘛? 06/07 09:54
8F:推 abram: 不是不好 楼上 而是他是付费版的 06/07 10:23
9F:→ abram: Secure FolderS 则是免费软体 06/07 10:24
10F:推 lmkkml: 哈哈,麻友友大提到到三个帐户让我忽然有个灵感,可以 UAC 06/07 10:57
11F:→ lmkkml: 放行到爽也不会被加密!这个想法是标准使用者帐户该方法的 06/07 10:58
12F:→ lmkkml: 进阶延伸版,D槽权限要稍作调整,主要差别是改成一个使用 06/07 10:59
13F:→ lmkkml: 者、两个管理员,大概变成下图这样子,理论上可以 UAC 放 06/07 10:59
14F:→ lmkkml: 到爽,等有时间再来实际操作测试。 06/07 11:00
15F:→ lmkkml: http://i.imgur.com/fXXdgKS.png 06/07 11:01
16F:推 william456: 期待lmkkml的文章,自从synology locker爆发後,看到 06/07 11:11
17F:→ william456: 变种都紧张兮兮,目前是用Norton+malbytes anti ranso 06/07 11:11
18F:→ william456: mware beta +secure folders+chrome flash control +A 06/07 11:11
19F:→ william456: dblock plus+unlock origin ,然後每次开机就先看adob 06/07 11:11
20F:→ william456: e和windows由无更新 06/07 11:11
21F:→ JohnnyDell: ADP跟uBlock择一就可以了吧 06/07 14:27
22F:→ mayuyu: 三个帐户的想法是偷自Secure Folders的设计原理w 06/07 16:19
23F:→ mayuyu: 期待lmkkml大的进阶版! 06/07 16:20
24F:→ mayuyu: @JohnnyDell ADP或uBlock可以增加订阅「恶意域名」 06/07 16:20
25F:→ mayuyu: 的过滤规则 除了普通的广告 也可以阻挡已知散布 06/07 16:20
26F:→ mayuyu: 恶意软体的网域 这样子即使病毒不是藏在广告里 06/07 16:20
27F:→ mayuyu: 恶意代码连到这些网域要下载木马的时候也会被阻挡 06/07 16:20
28F:→ mayuyu: uBlock还有阻挡第三方js的动态过滤规则 06/07 16:20
29F:→ mayuyu: 只有确定安全的网站再手动放行 也可以再减少一些风险 06/07 16:21
30F:推 chang0206: 请问uBlock要怎麽订阅?在选项中没看到订阅耶 06/07 17:16
31F:推 chang0206: 啊,在控制台里面 找到了.. 06/07 17:18
控制台→第三方过滤规则→恶意域名 uBlock不会因为订阅的规则越多,处理效率变慢, 所以可以全部都订阅没关系。 还有其实防火墙也有这个功能。 如果你觉得WIN7/WIN10要按住shift+右键, 或者是WIN8/WIN10的开始功能表还要修改群组原则or登录编辑, 才能叫出「以不同的使用者身分执行」的选单很麻烦, 微软自己有提供一个工具 https://technet.microsoft.com/zh-tw/sysinternals/cc300361.aspx 绝对没有毒请放心下载xD 下载後执行ShellRunas.exe /reg,以後直接右键打开选单就都会出现 「以不同的使用者身分执行」(Run as different user...)的选项。 在WIN10也一样可以用喔。 如果要永久建立以指定身份执行的程式捷径, 可以用runas命令 runas /user:使用者名称 "程式路径" 存成捷径或bat档,以後点击这个捷径就会以指定身份开启程式。 ※ 编辑: mayuyu (61.219.36.161), 06/07/2016 18:29:36
32F:推 moyoro: 不好意思想请问...我刚好奇试了拒绝写入的办法也的确成功 06/07 19:26
33F:→ moyoro: 了 但在想取消写入的时候无论什麽权限框框都完全不能点选 06/07 19:27
34F:→ moyoro: 方便的话想请问应该如何把它勾回来呢XD" 谢谢!! 06/07 19:28
35F:→ mayuyu: 请问你使用的作业系统是?WIN8? WIN10? 登入的使用者身份? 06/07 20:52
36F:→ mayuyu: 我没有遇到不能改的情况 你可以抓个你目前安全性设定的图 06/07 20:53
37F:→ mayuyu: 给我看一下? 06/07 20:53
38F:→ cak90253: 请问Secure Folders win10能否使用呢? 06/07 21:38
39F:→ mayuyu: WIN10可以用 06/07 21:51
40F:推 moyoro: 您好 刚刚误打误撞解决了XD 我使用的是WIN7 但不知道为什 06/07 21:58
41F:→ moyoro: 麽那颗磁碟的拥有者是乱码(不是任何已知的使用者) 因此无 06/07 21:59
42F:→ moyoro: 哪个权限都改不了设定XD" 因此更动拥有者为系统管理员就OK 06/07 22:00
43F:→ moyoro: 了 谢谢您!! 06/07 22:00
44F:→ mayuyu: 原来是这个原因,我刚刚有想到可能是拥有者的问题, 06/07 22:27
45F:→ mayuyu: 想请你改拥有者试试看,结果你已经自行解决了 ^^ 06/07 22:27
46F:→ mayuyu: 推荐试试看lmkkml大的方法一,真的方便又好用。 06/07 22:28
※ 编辑: mayuyu (61.219.36.156), 06/07/2016 22:28:43
47F:推 sweetgold: 快帮mayuyu投票阿! 06/07 22:48
48F:→ sweetgold: 剩10天惹 06/07 22:48
49F:→ mayuyu: 请大家帮mayuyu投票 m(_ _)m 说明 https://is.gd/vGeele 06/08 00:24







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:Tech_Job站内搜寻

TOP